一種基于硬件的U盤隔離方法的設計與實現

摘要：U盤的普及使U盤病毒繁衍迅速，針對信息系統安全保護的需要，設計出一種U盤病毒隔離器。該隔離器具有隔離AUtomn病毒、防止PC的數據通過U盤泄密、防止PC中的病毒感染U盤的功能。隔離器能夠快速捕獲到U盤與主機之問所有底層數據，在此基礎上，隔離器中的微控制器(MCU)通過分析、審計和過濾流過隔離器中的底層數據來實現上述功能。經實際檢測，該設計能夠實現預定功能。

關鍵詞：U盤；病毒隔離；文件傳輸

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-2163(2011)04-0031-03

0 引言雖然目前的殺毒軟件能發現部分U盤病毒，但如果采用硬件方式隔離病毒，會具有更好的安全性和易用性。因此在一些行業和部門(比如稅務部門)，更愿意采用硬件方式隔離U盤病毒。國內的浪潮集團有限公司開發出了U盤病毒隔離器(以下簡稱隔離器)，隔離器是安裝在PCUSB端口上的一個嵌入式終端設備，作為PC和U盤交換數據的中轉設備。隔離器主要運用LinUx嵌入式操作系統來實現對U盤的操作，避免了U盤類病毒利用Windows的自動運行功能在用戶服務器上進行病毒的自動傳播，運用此裝置可有效地避免一些U盤病毒的傳播，大大提高了數據的安全性、可靠性…。但是該設計存在兩大缺陷：(1)隔離器采用LinUx嵌入式操作系統無疑增大了隔離器自身軟件負載，增加了設計成本，降低了U盤與PC之間數據傳輸效率。(2)使用隔離器之前需要在PC上安裝特定的驅動程序和軟件，因而其在通用性和易用性上受到影響。本文提出的隔離器實現方案能夠克服浪潮集團有限公司的隔離器的兩大缺陷。因為彼此的設計理念不相同：本文提出的解決方案不采用任何操作系統，隔離器通過分析、過濾和審計U盤與PC之間的所有底層數據來實現。設計的隔離器能徹底隔離U盤中的AUtorUn病毒，隔離器還具備U盤只讀功能開關，也就是說，如果通過隔離器上的按鍵開肩U盤只讀功能，則還能防止PC的數據通過U盤泄密、防止PC中的病毒感染U盤。經實際測試，該設計具有隔離效果好、軟件負荷小、通用性好、使用方便等優點。

1 系統方案為了兼容高速、全速、低速USB傳輸標準，USB設備端和USB主控端的接口功能通過高速USB芯片ISPl761實現，ISPl761通過微控制器(MiCroControllerUnit，MCU)控制，讓隔離器能夠捕獲到所有底層數據，因此該隔離器的功能又好比一個USB橋(類似網橋的概念)。在此功能上，隔離器中的MCU對底層數據進行分析、過濾和審計等處理，以達到所需的安全要求。使用時，將U盤插入隔離器的USB主控端，隔離器的USB設備端連接到PC。

2 硬件設計USB接口芯片采用NXP公司的ISPl761芯片，該芯片價格低，是滿足該安全需求最理想的高速USB芯片。其主要特點有：(1)符合USB2.0標準，支持高速(480Mbps)、全速(12Mbps)、低速(1.5Mbps)標準。(2)提供2個USB主控端口(HostContro]lerport)，1個OTG端口。(3)主控端片內集成64KB高速緩存，設備端片內集成8KB高速緩存，極大提升單次數據吞吐量。(4)數據總線可配置為32位或16位，并支持DMA操作。為了最大限度地發揮ISPl761性能，MCU采用$3C2410(ARM9)處理器。這種處理器提供32位外部數據總線接口，片內集成DMA控制器，主頻高達200MHz。

3 軟件設計軟件設計是本次設計的關鍵。由于隔離器需要同時具備USB主控端和USB設備端，而ISPl761芯片只具有USB主控端和OTG端，所以首先需要將ISPl761的OTG端配置為USB設備端。為了實現病毒隔離功能，軟件設計主要分4步實現：

步驟1隔離器上電后進行自身初始化，主要包括主控端和設備端的初始化；步驟2隔離器在軟件上斷開其設備端與PC的連接，防止AUtorUn病毒感染PC。之后其主控端獲取U盤中aU-torUn.inf文件所在扇區的地址信息；步驟3隔離器在獲取U盤aUtorUn．inf信息后重啟U盤，再實現USB橋的功能，以實現PC對U盤的識別和隔離器對底層數據的完全捕獲；

步驟4隔離器對流過其自身的數據進行分析、過濾和審計，實現AUtorUn病毒的隔離，如果開啟隔離器的只讀功能，還可防止PC數據通過U盤泄密，防止PC病毒感染相連U盤。以下論述涉及AUtorUn病毒隔離、防止PC數據泄密、防止PC病毒感染U盤的解決思想。

3.1獲取U盤中aUtorUn．inf文件所在扇區信息

AUtorUn病毒是利用Windows的自動播放功能借助aU-torUn.inf引導感染的。為了防止AUtomn病毒的傳播，在將U盤插入到隔離器后，隔離器首先在軟件上斷開其USB設備端與PC的連接，以防止AUtorUn病毒感染PC。之后隔離器通過其USB主控端接口獲取U盤中aUtorUn.inf文件所在扇區的地址信息。為了實現該功能，隔離器的USB主控端需要借助硬件抽象層、USB協議驅動層、USB海量存儲類協議層和簡化的FAT文件系統來實現。在獲取aUtorUn.inf文件所在扇區的地址信息后，如果發現PC讀取aUtorUn.inf所在扇區的數據，隔離器將禁止此命令包發向U盤，并偽造一個正常的aUtorUn.inf數據發向主機，以達到隔離AUtorUn病毒的目的。

3.2隔離器實現對U盤的識別和對底層數據的完全捕獲隔離器獲取U盤中aUtorUn．inf文件的扇區地址信息后，重啟連入自身USB主控端的U盤，以便在獲取aUtorUn．inf文件信息后讓U盤和PC進行正常的USB枚舉過程。為了減小軟件負荷，此時的隔離器拋開USB協議驅動層和FAT文件系統，實現高速USB橋的功能，即隔離器收到來自PC的數據時立刻將此數據發送給U盤。隔離器實現USB橋的功能后，PC上無需安裝任何驅動即可完成USB枚舉過程，實現PC對U盤的識別。因此隔離器具有通用性好、使用方便的優點。隔離器實現USB橋的功能是最具挑戰性的。由于篇幅限制，本文只詳述如何提升隔離器傳輸速度的方法。連入隔離器后，PC訪問U盤的速度變慢，主要原因是：由于PC和外部存儲設備(比如U盤)之間多了隔離器，數據每次傳輸必須要在隔離器中存儲兩次，分別是隔離器中USB設備端接收(或發送)存儲和USB主控端發送(或接收)存儲。數據從設備端緩存傳遞到主控端緩存或從主控端緩存傳遞到設備端緩存時間開銷很大。曾經試想讓USB主控端和設備端共用一個存儲區，可由于ISPl761芯片的限制(在ISPl761芯片中，主控端和設備端的緩存是分離的)，無法實現。如果采用MCU以I／O讀寫方式直接實現數據在ISPl761的主控端緩存和設備端緩存之間傳遞，傳輸速度非常低。對于一批4096B的數據，從PC發出請求給U盤，到PC獲取來自U盤的這批數據，需要12ms(采用BUsHoUnd軟件獲得的測試結果，BUsHoUnd軟件是由美國perisoft公司研制的一種專用于PC各種總線數據包監視和控制的開發工具軟件，能準確測出USB總線上數據傳輸速度)。而采用DMA控制器實現主控端緩存與設備端緩存之間的數據傳遞，就只需要1．2ms，速度陡然提升10倍。因此最終實現方案中采用DMA控制器來進行USB主控端緩存和設備端緩存之間的數據傳遞。$3C2410芯片中已集成DMA控制器，可支持外圍存儲器到外圍存儲器的傳輸。本文采用軟件請求模式操作$3C2410芯片中的DMA控制器以提升隔離器傳輸速度。

3.3隔離器對數據進行分析、審計和過濾

USB控制端點的枚舉過程結束后，U盤和PC就開始利用批量傳輸端點進行數據傳輸。對于U盤設備，批量傳輸遵循海量存儲類單批量傳輸(MassStorageClassBUlk-0nlyTrans-port)協議。

該協議實際上是由n個IN／OUT事務組成。其傳輸共分為3個階段，如圖1所示。

第一階段為命令傳輸階段，主機先構造CBW命令包，然后發送CBW命令包到設備。第二階段為數據傳輸階段，根據CBW命令包中的dCBWDataTransferLength和bmCB-WFlags字段內容決定進行一次或多次IN／OUT數據事務。第三階段為狀態傳輸階段，由設備發送CSW狀態包給主機返回狀態信息。

MassStorageClassBUlk-OnlyTransport協議中的CBW命令包包含RBC命令(簡化的塊設備命令集，是SCSI命令子集)，而隔離器所進行的分析、過濾和審計操作就是根據RBC命令信息進行的，其流程如圖2所示。隔離器在進人批量數據傳輸后，首先讀取設備端緩存，如果接收到來自主機的數據，那么此時的數據必定包含MassStorageClassBUlk-OnlyTransport協議中的CBW命令包，解析CBW包中的CBWCB字段。該字段中含有RBC命令信息，通過分析RBC命令信息，便可提前知道主機對U盤的操作。對于圖2中的主要函數，說明如下：

(1)ProREADl0()：處理RBC讀操作命令。在該操作中，需要判斷讀取數據所在的扇區，如果發現PC讀取aUtorUn．inf所在崩區的數據，則隔離器將禁止該CBW命令包發向U盤，并偽造一個正常的aUtorUn．inf數據，通過其USB設備端發向主機。其他情況下直接將該CBW命令包轉發給U盤，并將U盤返回的所有數據和CSW狀態信息轉發給主機。(2)~oWRITElO()：處理RBC寫操作命令。如果通過隔離器上的按鍵關閉了PC對U盤的只讀功能，隔離器向U盤轉發本次的CBW命令和隨后來自PC的寫人數據，并返回來自U盤的CSW狀態信息。如果通過隔離器上的按鍵開啟了PC對U盤的只讀功能，隔離器停止向U盤轉發此次CBW命令包，同時過濾掉來自主機的、跟隨此CBW命令包的所有寫數據，最后向主機偽造13B的CSW狀態信息以欺騙主機，使主機認為已成功完成了寫數據操作，如此即可實現防止PC數據通過U盤泄密，防止PC病毒感染U盤的功能。

4 測試結果經過實際測試，隔離器能兼容高速、全速和低速傳輸速度的U盤。隔離器的病毒隔離測試通過分析BUsHoUnd軟件抓取到的U盤與PC之間的底層數據、借助PC上的殺毒軟件和觀察U盤中的數據這三種方法相結合來進行驗證的，結果如下：(1)隔離器能徹底隔離U盤中的AUtorUn病毒。(2)如果通過隔離器上的按鍵開啟了PC對U盤的只讀功能，則隔離器能隔離AUtorUn病毒、防止PC的數據通過U盤泄密，防止PC中的病毒感染到U盤。在此情況下，PC不能向U盤寫入數據。(3)如果通過隔離器上的按鍵關閉了PC對U盤的只讀功能，則隔離器只能隔離AUtomn病毒。但在此模式下，PC可以向U盤寫入數據。使用隔離器后，主機訪問U盤的數據時，速度會降低。在沒有使用U盤隔離器時，主機讀取U盤的速度約為96Mb~，寫數據到U盤的速度約為48Mbps；在使用隔離器后，主機讀取U盤的速度約為24Mbps，隔離器在關閉只讀功能時，寫數據到U盤的速度約為18Mbps，開啟只讀功能時，寫數據到U盤的速度會比沒有隔離器時更快，速度約為120Mbps，因為此時PC向U盤寫入的數據被隔離器的USB設備端截獲，并沒有真正寫入到U盤。隔離器具備高速USB橋的功能，僅在U盤和PC進行USB枚舉過程中，隔離器實現透明傳輸，因此在PC上無需再安裝任何驅動即可完成PC對U盤的識別，提高了其通用性、易用性。

5 結束語本文設計的隔離器沒有采用任何操作系統，相對于當前已有的采用嵌入式操作系統的U盤病毒隔離器，具有更小的軟件負荷和更低的成本。由于隔離器采用高速USB橋的設計思想，使用時無需再在PC上安裝任何驅動即可完成PC對U盤的識別。而目前已有的U盤病毒隔離器需要在PC上安裝特定的驅動和軟件，因此本次設計具有使用更方便、通用性更好的特點。使用U盤隔離器后，主機訪問U盤的數據會降低。雖然速度有所降低，但是24Mbps的訪問速度是可以接受的，速度的犧牲換回三大安全隱患的解除：(1)AUtorUn病毒的絕對隔離；(2)開啟隔離器的只讀功能后，隔離器能徹底防止PC中的數據通過U盤泄密；(3)開啟隔離器的只讀功能后，隔離器能徹底防止PC中的病毒感染到U盤。因此，本文設計的U盤病毒隔離器在一些行業或部門具有一定的使用和推廣價值。

參考文獻：

[1]劉寧，趙建華.移動U盤病毒工作原理、清除與防范[J].長春大學學報，2009(4).

[2]柳志強.淺談安全使用U盤應注意的幾個問題[J].萊鋼科技，2006(1).

[3]吳思儀，陳波.U盤病毒及其免疫程序[J].電腦編程技巧與維護，2008(3).

[4]楊正彬.基于計算機U盤病毒防范的應用研究[J].才智，2009(17).